顶层设计 | 国家《网络安全审查办法》要点简析

来源:公众号“汽车信息安全”
2020-05-13
1832


网络安全审查办法》要点简析


一、聚焦国家安全

《办法》有十二家部委机构参与制定,反映了网络安全审查涵盖CII行业、领域的跨部门特点,同时明确审查机构“网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查”。


络安全审查制度法律基础来源于《国家安全法》第三十五条和五十九条,分别是关于国家安全审查监管机制和针对关键信息基础设施的安全审查的规定。由此我们可以认为,在新版的《审查办法》中,维护国家安全是其立法的首要目标。相较于原《审查办法》,新《审查办法》立法价值上更加聚焦于国家安全,并没有局限在保护企业和用户的合法权益上,例如:

1、新《审查办法》明确适用于“关键信息基础设施运营者采购网络产品和服务”的活动,这个表述表明其通常不会延伸至一般的网络运营者

2、把数据安全界定为“大量个人信息和重要数据泄露、丢失、毁损或出境”,而非“非法收集、存储、处理、使用用户相关信息的风险”

3、删除了“产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险”的内容。


在《网络安全法》的体系下,为保障网络产品和服务安全,除了网络安全审查制度外,还有“网络关键设备和网络安全专用产品安全认证和安全检测”制度。两个制度体系的立法目标不一,涵盖重点不同,后者可以看成是一个广泛适用的网络产品安全制度,前者是一个保障国家安全的、增强性的网络产品安全制度。


按照答记者问的表述:“具体工作委托中国网络安全审查技术与认证中心承担。中国网络安全审查技术与认证中心(“认证中心”)在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查、具体组织审查工作等任务”,关注已久的“网络安全审查第三方机构”认证中心地位和职责分工终于落定。


二、明确了申报者范围

原规定“关系国家安全和公共利益的信息系统使用的重要网络产品和服务,应当经过网络安全审查”,关键信息基础设施运营者采购的网络产品和服务,可能影响国家安全的,应当经过网络安全审查”,而是否影响国家安全,又规定“关键信息基础设施运营者采购的网络产品和服务是否影响国家安全,由关键信息基础设施保护工作部门确定”,对此《办法》澄清为:关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。


按照答记者问的澄清,根据中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》精神,电信、广播电视、能源、金融、公路水路运输(包括汽车产业)、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时,应当按照《办法》要求考虑申报网络安全审查。据此,网络运营者等《网络安全法》主体对于是否需要进行网络安全审查,应该可以得出确切的答案。


三、审查原则

原规定为“坚持企业承诺与社会监督相结合,第三方评价与政府监管相结合,实验室检测、现场检查、在线监测、背景调查相结合,对网络产品和服务及其提供者进行网络安全审查”,《办法》进一步明确为“网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务安全性、可能带来的国家安全风险等方面进行审查”,将安全与发展的关系、透明度、中立性、持续性作出了适当延展。从整体上,这些原则显得更像“原则”,因此未来实际审查牵涉的方面也会比原规定更丰富庞杂。实际上无论是审查原则、启动触发条件或是审查过程,都对申报者的“理解能力”提出了更高的要求。


四、审查的考虑要素

在原来的《审查办法》中,网络产品和服务提供者应当对网络安全审查工作予以配合,并对提供材料的真实性负责。因此,原审查制度中审查机构面对的相对方主要是“网络产品和服务提供者”,但关于网络安全审查的申报责任和配合义务等问题却规定得不甚清晰。


而在新《审查办法》中,将关键信息基础设施运营者(下简称CIIO)为整个审查流程的核心,要承担如下责任:


1、应预判产品和服务上线运行后带来的潜在安全风险,形成安全风险报告

2、通过契约或其他方式要求产品和服务提供者配合网络安全审查,采购合同应约定在网络安全审查通过后方可生效

3、向网络安全审查办公室申报网络安全审查

4、进入特别审查程序需要提供补充材料的,予以配合

5、加强安全管理,督促网络产品和服务提供者认真履行网络安全审查中作出的承诺。


同样,违法的板子也会打在相关管理者的身上,在《办法》中有“违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条的规定处理”。

《办法》将原规定的若干审查要素重新进行了梳理,原第(一)条和第(三)条整合并纳入第(一)条,将原第(二)条和第(四)条重新表述为第(三)条,并强调了非技术导致的供应中断风险(如果将《办法》的第(二)条可以理解为“技术导致的供应中断”),此外增加考虑了供应商对中国法律的合规性情况(第(四)条)。整体而言,表述更为凝练和“委婉”。


五、更为清晰的申报流程



对原《审查办法》诟病比较多的问题之一,就是审查中的程序规定和时限规定不清晰。

新《审查办法》下,中央网络安全和信息化委员会统一领导网络安全审查工作,国家网信办等12个部局组成国家网络安全审查工作机制单位。同时,在国家网信办设立网络安全审查办公室,负责组织制定网络安全审查相关制度规定和工作程序、组织网络安全审查、监督审查决定的实施。


《办法》还排除了原规定“金融、电信、能源等重点行业主管部门,根据国家网络安全审查工作要求,组织开展本行业、本领域网络产品和服务安全审查工作”带来的困惑,明确的申报流程和主要步骤一般包括:

(1)申报者在采购网络产品服务之前进行国家安全风险预判;

(2)经预判可能影响国家安全的,向网络安全审查办公室(通过认证中心)申报网络安全审查;

(3)同时,申报者可通知产品和服务提供者配合审查;

(4)提交材料,申报网络安全审查;

(5)10个工作日内完成确定,属于需要审查的,书面通知运营者;

(6)30个工作日内完成初步审查,并形成审查结论建议,将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见;

(7)网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复意见,将审查结论通知运营者;

(8)如两者意见不一致,进入特别审查程序,最终经报中央网络安全和信息化委员会批准,形成审查结论并书面通知运营者。


六、非申报者启动的流程

除运营者作为申报者启动审查申报之外,《办法》还规定“网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查”,即网络安全审查工作机制成员单位可主动申请对特定网络产品、服务适用网络安全审查。较原规定“国家有关部门要求、全国性行业协会建议、市场反映和企业申请”的宽泛表述,更为聚焦和内敛。


七、从CII运营者角度的其他法律风险问题

按照《办法》和答记者问,关键信息基础设施运营者应当在与产品和服务提供方正式签署合同前申报网络安全审查。如果在签署合同后申报网络安全审查,建议在合同中注明此合同须在产品和服务采购通过网络安全审查后方可生效,以避免因为没有通过网络安全审查而造成损失。


对于这里的将“产品和服务采购通过网络安全审查”是否可以作为合同生效要件,我们认为:采购合同中各方可以分别约定合同成立和生效要件。如CII运营者未进行类似生效要件规定的,则未来在发生法律争议或损失时,将难以以需经过网络安全审查为由主张合同无效,因此这一条款尤为必要。


此外,《办法》对一些原规定中的不合理条款进行了剔除,例如第十条等。并强化了对包括对运营者和产品和服务提供者在内的各方商业秘密等知识产权保护规定,当然第十六条“参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权”,将商业秘密和知识产权并列的表述可能似不严谨。对于审查结论,《办法》规定为“通知运营者”而不再是随意性的“发布”,也契合了上述保护意识。


八、其他问题

对于实质上网络安全审查内容,未来是按照《认证认可条例》等规定,进行认证中心认证规制的标准化还是进行其他安排的审查要素细化,尚有待进一步观察。在运营者之外,《办法》对产品、服务提供者增加和转移的隐性义务规定也将导致供应链关系的深刻变化,企业应结合适用性与否的基本判断,进一步评估《办法》带来的成本、投入与合规风险。


参考链接:西交苏州信息安全法律研究中心



《办法》全文如下

国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局联合制定了《网络安全审查办法》,现予公布。

国家互联网信息办公室主任 庄荣文

国家发展和改革委员会主任 何立峰

工业和信息化部部长 苗 圩

公安部部长 赵克志

国家安全部部长 陈文清

财政部部长 刘 昆

商务部部长 钟 山

中国人民银行行长 易 纲

国家市场监督管理总局局长 肖亚庆

国家广播电视总局局长 聂辰席

国家保密局局长 田 静

国家密码管理局局长 李兆宗

2020年4月13日


第一条 为了确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,制定本办法。

第二条 关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。

第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务安全性、可能带来的国家安全风险等方面进行审查。

第四条 在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。

第五条 运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。

关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。

第六条 对于申报网络安全审查的采购活动,运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。

第七条 运营者申报网络安全审查,应当提交以下材料:

(一)申报书;

(二)关于影响或可能影响国家安全的分析报告;

(三)采购文件、协议、拟签订的合同等;

(四)网络安全审查工作需要的其他材料。

第八条 网络安全审查办公室应当自收到审查申报材料起,10个工作日内确定是否需要审查并书面通知运营者。

第九条 网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素:

(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;

(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;

(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;

(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;

(五)其他可能危害关键信息基础设施安全和国家安全的因素。

第十条 网络安全审查办公室认为需要开展网络安全审查的,应当自向运营者发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见;情况复杂的,可以延长15个工作日。

第十一条 网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复意见。

网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见一致的,网络安全审查办公室以书面形式将审查结论通知运营者;意见不一致的,按照特别审查程序处理,并通知运营者。

第十二条 按照特别审查程序处理的,网络安全审查办公室应当听取相关部门和单位意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知运营者。

第十三条 特别审查程序一般应当在45个工作日内完成,情况复杂的可以适当延长。

第十四条 网络安全审查办公室要求提供补充材料的,运营者、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。

第十五条 网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。

第十六条 参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权,对运营者、产品和服务提供者提交的未公开材料,以及审查工作中获悉的其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或用于审查以外的目的。

第十七条 运营者或网络产品和服务提供者认为审查人员有失客观公正,或未能对审查工作中获悉的信息承担保密义务的,可以向网络安全审查办公室或者有关部门举报。

第十八条 运营者应当督促产品和服务提供者履行网络安全审查中作出的承诺。

网络安全审查办公室通过接受举报等形式加强事前事中事后监督。

第十九条 运营者违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条的规定处理。

第二十条 本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。

本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。

第二十一条 涉及国家秘密信息的,依照国家有关保密规定执行。

第二十二条 本办法自2020年6月1日起实施,《网络产品和服务安全审查办法(试行)》同时废止。

《网络安全审查办法》答记者问

国家互联网信息办公室有关负责人就《办法》相关问题回答了记者的提问。

问:请您介绍一下《办法》出台的背景?

答:关键信息基础设施对国家安全、经济安全、社会稳定、公众健康和安全至关重要。我国建立网络安全审查制度,目的是通过网络安全审查这一举措,及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害,保障关键信息基础设施供应链安全,维护国家安全。《办法》的出台,为我国开展网络安全审查工作提供了重要的制度保障。

问:网络安全审查的法律依据是什么?

答:网络安全审查是依据《国家安全法》《网络安全法》开展的一项工作。《国家安全法》第五十九条规定,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的网络信息技术产品和服务,以及其他重大事项和活动,进行国家安全审查。《网络安全法》第三十五条规定,“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查”。

问:网络安全审查主要审查哪些内容?

答:网络安全审查重点评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险,包括:产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;产品和服务供应中断对关键信息基础设施业务连续性的危害;产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;产品和服务提供者遵守中国法律、行政法规、部门规章情况;其他可能危害关键信息基础设施安全和国家安全的因素。

问:哪些网络运营者采购产品和服务需要考虑申报网络安全审查?

答:关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当按照《办法》进行网络安全审查。

根据中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》精神,电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时,应当按照《办法》要求考虑申报网络安全审查。

问:何时申报网络安全审查?

答:通常情况下,关键信息基础设施运营者应当在与产品和服务提供方正式签署合同前申报网络安全审查。如果在签署合同后申报网络安全审查,建议在合同中注明此合同须在产品和服务采购通过网络安全审查后方可生效,以避免因为没有通过网络安全审查而造成损失。

问:网络安全审查有无时限要求?

答:通常情况下,网络安全审查在45个工作日内完成,情况复杂的会延长15个工作日。

进入特别审查程序的审查项目,可能还需要45个工作日或者更长。

根据《办法》要求,补充提供材料的时间不计入审查时限。

问:审查过程中如何保证关键信息基础设施运营者及产品和服务提供者的商业秘密和知识产权?

答:网络安全审查充分尊重和严格保护企业的知识产权。《办法》规定,参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权,对关键信息基础设施运营者、产品和服务提供者提交的未公开材料,以及审查工作中获悉的其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或用于审查以外的目的。关键信息基础设施运营者或产品和服务提供者认为审查人员有失客观公正,或未能对审查工作中获悉的信息承担保密义务的,可以向网络安全审查办公室或有关部门举报。

问:网络安全审查是否会限制或歧视国外产品和服务?

答:《办法》明确规定了要审查的内容,从中可以看出,网络安全审查的目的是维护国家网络安全,不是要限制或歧视国外产品和服务。

对外开放是我们的基本国策,我们欢迎国外产品和服务进入中国市场的政策没有改变。

问:违反《办法》规定应承担哪些法律责任?

答:根据《网络安全法》第六十五条规定,应当申报网络安全审查而没有申报的,或者使用网络安全审查未通过的产品和服务,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

问:网络安全审查向谁申报?

答:根据《办法》,网络安全审查办公室设在国家互联网信息办公室。具体工作委托中国网络安全审查技术与认证中心承担。

中国网络安全审查技术与认证中心在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查、具体组织审查工作等任务。


主   编:杨文昌 @Vincent Yang
主理人:李   强 @Keellee




收藏
点赞
2000